Une étude menée à travers 12 pays et 17 secteurs différents montre que la perte de données est davantage due à la négligence plutôt qu'à la malveillance humaine.
Après les Hommes, le bien le plus précieux à protéger en entreprise est bel et bien les données. Pourtant, alors qu'elles investissent dans des solutions de prévention et de protection, 85 % d'entre elles déclarent avoir subi des pertes de données au cours de l'année 2023.
Un rapport, publié par Proofpoint, spécialiste en cybersécurité et de solutions de prévention de perte de données, indique que plus de 9 organisations sur 10 ont été confrontées à l'interruption des activités et à la perte de revenus (plus de 50 % des organisations touchées), ou bien à une atteinte à la réputation (40 %). Les conséquences sont fâcheuses pour ces entreprises, d'autant plus lorsque l'on apprend que seulement 1 % des utilisateurs sont responsables de 88 % des pertes de données.
Plus étonnant encore, les causes de ces pertes, imputées à l'Homme, relèvent davantage un négligence qu'une réelle volonté de nuire à la société, comme l'a déclaré Ryan Kalember, directeur de la stratégie chez Proofpoint.
« Les utilisateurs négligents, compromis et malveillants sont et continueront d'être responsables de la grande majorité des incidents, tandis que les outils de GenAI absorbent des tâches courantes et accèdent ainsi à des données confidentielles. » Les entreprises vont ainsi devoir tenir compte de cette nouvelle entité dans leurs actions de prévention contre la perte des données.
20 novembre 2023 à 08h08
Négligence ou malveillance, la perte de données coûte cher
Les conséquences des actions malveillantes peuvent être coûteuses. La récente cyberattaque de France Travail, ayant exposé les données de plus de 40 millions d'usagers, nous l'a appris. Mais elles restent évitables. 20 % des personnes interrogées ont déclaré que des collaborateurs malveillants, tels que des employés ou des sous-traitants, étaient à l'origine d'incidents de perte de données. Les actions malveillantes et les départs d'employés qui cherchent à nuire à l'organisation peuvent avoir des conséquences encore plus importantes que les salariés négligents, car ces personnes sont motivées par l'appât du gain.
Les employés qui quittent l'entreprise ne pensent pas toujours qu'ils agissent de manière malveillante. Par exemple, certains se sentent simplement autorisés à partir avec les informations qu'ils ont produites, comme un carnet d'adresses, des échanges de courriers, des documents partagés, etc. Les données de Proofpoint montrent que 87 % des exfiltrations anormales de fichiers parmi les abonnés au cloud de l'entreprise sur une période de 9 mois ont été causées par des employés en partance, ce qui souligne la nécessité pour les entreprises d'adopter des stratégies préventives telles que la mise en œuvre d'un processus d'examen de la sécurité pour cette catégorie d'utilisateurs licenciés ou démissionnaires.
Le respect du RGPD et des règles juridiques au cœur de la stratégie de prévention contre la perte des données
La perte de données est un problème répandu, mais évitable. Les organisations ont connu l'équivalent de plus d'un incident par mois (une moyenne de 15 incidents de perte de données par organisation au cours de l'année écoulée), et 71 % des personnes interrogées ont déclaré que la principale cause était la négligence des utilisateurs. Cette négligence consiste notamment à détourner des courriels, à visiter des sites d'hameçonnage, à installer des logiciels non autorisés et à envoyer des données sensibles, telles que les données de santé françaises hébergées chez l'Américain Microsoft, par courriel à un compte personnel.
Il s'agit là de comportements évitables qui pourraient être atténués par des pratiques telles que la mise en œuvre de règles de politique DLP (prévention de la perte de données) pour les courriels, les téléchargements sur le Web, la synchronisation de fichiers dans le cloud et d'autres méthodes courantes d'exfiltration de données.
Selon les données de Tessian (filiale de Proofpoint) pour 2023, à titre d'exemple, environ un tiers des employés ont envoyé un ou deux courriels au mauvais destinataire. Cela signifie qu'une entreprise de 5 000 employés peut s'attendre à traiter environ 3 400 courriels mal adressés par an. Un courriel mal adressé contenant des données relatives à un employé, un client ou un patient peut potentiellement entraîner une amende importante en vertu du RGPD et d'autres cadres juridiques.
21 novembre 2024 à 08h53
Sources : Help Net Security, Proofpoint
